La sicurezza informatica è una considerazione chiave nel mercato odierno per i produttori di dispositivi medici e altri settori. Ho già scritto di Le aspettative della FDA per la documentazione sulla sicurezza informatica per l'invio di dispositivi medici e ha parlato di questo argomento al Medical Device Playbook Toronto.
Di recente, siamo venuti a conoscenza dei nuovi requisiti di sicurezza informatica che stanno entrando in vigore negli Stati Uniti per i dispositivi medici considerati "dispositivi informatici". Il governo degli Stati Uniti definisce un dispositivo informatico, un dispositivo che:
- include software convalidato, installato o autorizzato dallo sponsor come dispositivo o in un dispositivo;
- ha la capacità di connettersi a Internet;
- contenga qualsiasi caratteristica tecnologica convalidata, installata o autorizzata dallo sponsor che potrebbe essere vulnerabile alle minacce alla sicurezza informatica.
Ciò è tanto più interessante in quanto questi nuovi requisiti non sono stati ancora comunicati direttamente dalla FDA o ampiamente discussi all'interno delle notizie del settore. Volevo condividere queste informazioni con i nostri lettori in modo che anche voi possiate esserne consapevoli e prepararvi in modo proattivo a questo cambiamento.
Per quelli del settore che stanno attualmente preparando i contributi, questo è un argomento caldo. Ti consigliamo di assicurarti che la documentazione corretta sia generata e fornita come parte dell'invio per evitare ulteriori richieste di informazioni e ritardi nel processo di invio.
Nuovi requisiti
Il 21 dicembre 2022, il governo degli Stati Uniti ha approvato un disegno di legge omnibus1 ("Testo Unico degli Stanziamenti, 2023”), che riguardava principalmente la garanzia di finanziamenti per le attività governative fino a settembre 2023, ma include anche una sottosezione dedicata al controllo della sicurezza informatica dei dispositivi medici da parte della FDA.
Questo disegno di legge comprende l'incredibile cifra di 4,155 pagine, e nascosto tra di esse, a pagina 3,537, c'è la sezione di interesse chiave, che identifica una serie di requisiti di sicurezza informatica, che il governo si aspetta di ricevere da chiunque presenti una domanda o una presentazione ai sensi delle sezioni 510 (k) , 513, 515(c), 515(f) o 520(m) in relazione al Food, Drugs and Cosmetics Act. Ciò significa che chiunque presenti un dispositivo medico per l'approvazione o l'autorizzazione ai sensi dei percorsi IDE, 510(k), De Novo o PMA è ora tenuto a fornire quanto segue:
- (b) REQUISITI DI SICUREZZA INFORMATICA: lo sponsor di una domanda o presentazione descritta nella sottosezione 3
- (a) dovrà—
- (1) presentare al Segretario un piano per monitorare, identificare e affrontare, a seconda dei casi, in un tempo ragionevole, le vulnerabilità e gli exploit della sicurezza informatica post-vendita, compresa la divulgazione coordinata delle vulnerabilità e le relative procedure;
- (2) progettare, sviluppare e mantenere processi e procedure per fornire una ragionevole garanzia che il dispositivo e i relativi sistemi siano sicuri dal punto di vista informatico e rendere disponibili aggiornamenti post-vendita e patch per il dispositivo e i relativi sistemi per affrontare:
- (A) su un ciclo regolare ragionevolmente giustificato, vulnerabilità note inaccettabili; e
- (B) appena possibile fuori ciclo, vulnerabilità critiche che potrebbero causare rischi incontrollati;
- (3) fornire al Segretario una distinta base del software, compresi i componenti software commerciali, open-source e disponibili in commercio; e
- (4) rispettare gli altri requisiti che il Segretario può richiedere attraverso il regolamento per dimostrare la ragionevole certezza che il dispositivo e i relativi sistemi sono sicuri dal punto di vista informatico.
- (a) dovrà—
Dichiara inoltre che questi requisiti aggiuntivi entreranno in vigore 90 giorni dalla data di entrata in vigore della presente legge, che pone la data di adeguamento al 21 marzo 2023.
Informazioni contrastanti:
Attualmente, come dettagliato nel nostro whitepaper Guida alla bozza di sicurezza informatica della FDA, la guida finale applicabile della FDA è delineata in Contenuto degli invii pre-commercializzazione per la gestione della sicurezza informatica nei dispositivi medici datato 2014. Tuttavia, nel 2022, la FDA ha pubblicato una bozza di guida aggiornata, Sicurezza informatica nei dispositivi medici: considerazioni sul sistema di qualità e contenuto degli invii prima della commercializzazione, che amplia notevolmente le aspettative per le attività e la documentazione sulla sicurezza informatica. La versione del 2022 è intesa come l'attuale pensiero su questo argomento da parte della FDA, mentre la guida finale del 2014 è quella attualmente in vigore e in fase di applicazione.
La FDA ha confermato che intende finalizzare la bozza delle linee guida del 2022 quest'anno quando ha comunicato le linee guida sugli obiettivi da dare priorità nel 2023 (Linee guida proposte dal CDRH per l'anno fiscale 2023 (FY2023) | FDA), tuttavia non abbiamo ancora visto alcuna data di pubblicazione specifica o dettagli sull'entità delle modifiche o su come la guida finale sarà rivista rispetto alla bozza del 2022.
Gli obblighi delineati nel disegno di legge omnibus si collocano a metà strada tra le versioni 2014 e 2022 della guida, con gli obblighi che sono stati estesi rispetto a quelli attualmente in vigore, ma non così ampiamente come quelli delineati nella bozza del 2022.
Il piano post-commercializzazione e gli aspetti dei processi e delle procedure sono parzialmente coperti dall'attuale guida finale, ma non esplicitamente parola per parola. L'aggiunta di una distinta base del software (sBOM) è una novità nell'attuale guida finale, ma è trattata nella bozza di guida del 2022. L'ultimo requisito sembra essere una dichiarazione onnicomprensiva che consenta alla FDA e agli organismi governativi competenti di adattarsi alle migliori pratiche come richiesto.
La FDA raccomanda l'uso del pacchetto eSTAR per gli invii per garantire che venga fornito il contenuto corretto. Il modello attuale, versione 2-2, richiede solo i seguenti documenti in relazione alla sicurezza informatica: file di gestione del rischio, piano di gestione della sicurezza informatica o piano per il supporto continuo e un riferimento al contenuto della sicurezza informatica all'interno dell'etichettatura. Dovremmo aspettarci che questo modello venga aggiornato per riflettere eventuali requisiti aggiuntivi.
Il disegno di legge menziona esplicitamente la guida intitolata "Contenuto delle presentazioni pre-commercializzazione per la gestione della sicurezza informatica nei dispositivi medici" (o un documento successivo) e gli obblighi della FDA di esaminarlo e tenerlo aggiornato con il feedback di "produttori di dispositivi, operatori sanitari operatori sanitari, fornitori di servizi di dispositivi di terze parti, sostenitori dei pazienti e altre parti interessate appropriate. Ma il limite di tempo su questo aspetto del disegno di legge non è superiore a due anni, il che è in conflitto con l'aspettativa di 90 giorni.
Domande rimanenti:
È qui che arriviamo al nocciolo della questione, come risponde l'industria a queste esigenze contrastanti?
Il disegno di legge afferma che la FDA dovrebbe fornire risorse entro e non oltre 180 giorni dall'entrata in vigore dell'atto, compreso l'aggiornamento del sito Web della FDA sulla sicurezza informatica. Ma ancora una volta, questo arriva dopo la scadenza per l'industria.
Dovremo aspettare per vedere quando questo verrà comunicato ufficialmente all'industria tramite un aggiornamento della guida o con altri mezzi. Si spera che ciò accada presto per fare chiarezza su queste aspettative.
1 An fattura omnibus è una proposta legge che copre una serie di argomenti diversi o non correlati Bolletta omnibus – Wikipedia
Immagine: PuòStock Photo
Elena Simons è un Certificazione di qualità Manager presso StarFish Medical. La formazione di Helen è in ingegneria meccanica, con un background di sviluppo di prodotti e sviluppo QMS in diversi settori, dai prodotti di consumo e industriali ai dispositivi medici, IVD e dispositivi combinati.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/
- 1
- 2014
- 2022
- 2023
- a
- capacità
- Chi siamo
- operanti in
- Legge
- attività
- adattare
- aggiunta
- aggiuntivo
- Informazioni aggiuntive
- indirizzo
- indirizzamento
- sostenitori
- Dopo shavasana, sedersi in silenzio; saluti;
- Tutti
- Consentire
- tra
- ed
- chiunque
- applicabile
- Applicazioni
- opportuno
- stanziamenti
- approvazione
- approvato
- aspetto
- aspetti
- garanzia
- disponibile
- evitare
- sfondo
- essendo
- MIGLIORE
- best practice
- fra
- Conto
- portare
- che
- Causare
- il cambiamento
- caratteristiche
- chiarezza
- COM
- combinazione
- Venire
- arrivo
- rispetto
- conformità
- componenti
- Confermare
- Conflitto
- Connettiti
- considerazione
- Considerazioni
- considerato
- Consumer
- contenuto
- continua
- di controllo
- coordinato
- potuto
- coperto
- copre
- critico
- Corrente
- Attualmente
- Cyber
- Cybersecurity
- Data
- datato
- Date
- giorno
- Giorni
- Dicembre
- ritardi
- dimostrare
- descritta
- Design
- dettagliati
- dettagli
- sviluppare
- Mercato
- dispositivo
- dispositivi
- DID
- direttamente
- Rivelazione
- discusso
- Dsiplay
- paesaggio differenziato
- documento
- documentazione
- documenti
- bozza
- farmaci
- Istruzione
- effetto
- o
- applicazione
- Ingegneria
- garantire
- assicurando
- Etere (ETH)
- ampliato
- espande
- attenderti
- aspettativa
- le aspettative
- aspetta
- gesta
- Autunno
- fda
- feedback
- finale
- ultimare
- Fiscale
- i seguenti
- cibo
- forza
- da
- finanziamento
- generato
- Enti Pubblici
- governo
- linee guida
- accadere
- Salute e benessere
- Assistenza sanitaria
- nascosto
- Fiduciosamente
- HOT
- Come
- Tuttavia
- HTML
- HTTPS
- identifica
- identificare
- in
- inclusi
- Compreso
- industriale
- industrie
- industria
- Industry News
- informazioni
- installato
- intenzione
- interesse
- interessante
- Internet
- problema
- IT
- mantenere
- Le
- conosciuto
- etichettatura
- Cognome
- LIMITE
- mantenere
- make
- gestione
- direttore
- Produttori
- Marzo
- Rappresentanza
- Materiale
- max-width
- si intende
- meccanico
- Ingegneria meccanica
- medicale
- dispositivo medico
- dispositivi medici
- Monitorare
- Scopri di più
- multiplo
- New
- notizie
- Nuovo
- numero
- obblighi
- Ufficialmente
- ONE
- open source
- Altro
- delineato
- Outlook
- pacchetto
- parte
- Patch
- paziente
- piano
- Platone
- Platone Data Intelligence
- PlatoneDati
- giocatore
- possibile
- pratiche
- Preparare
- preparazione
- in precedenza
- priorità
- procedure
- processi
- i processi
- Prodotto
- sviluppo del prodotto
- Prodotti
- proposto
- protezione
- fornire
- purché
- fornitori
- Pubblicazione
- pubblicato
- mette
- qualità
- Domande
- lettori
- ragionevole
- ricevere
- raccomanda
- riflettere
- per quanto riguarda
- Basic
- Regolamento
- relazionato
- relazione
- pertinente
- richieste
- richiedere
- necessario
- requisito
- Requisiti
- Risorse
- Rispondere
- recensioni
- Rischio
- gestione del rischio
- rischi
- Sezione
- sezioni
- Senato
- Settembre
- set
- Condividi
- dovrebbero
- significativamente
- Un'espansione
- So
- Software
- Arrivo
- specifico
- sponsor
- stakeholder
- Stella di mare
- dichiarazione
- stati
- sottomissione
- Articoli
- inviare
- tale
- supporto
- sistema
- SISTEMI DI TRATTAMENTO
- Target
- tecnologico
- modello
- I
- loro
- Pensiero
- quest'anno
- minacce
- Attraverso
- tempo
- a
- di oggi
- pure
- argomento
- Argomenti
- toronto
- per
- inteso
- Aggiornanento
- aggiornato
- Aggiornamenti
- aggiornamento
- us
- noi governo
- uso
- convalidato
- versione
- Video
- vulnerabilità
- vulnerabilità
- Vulnerabile
- aspettare
- ricercato
- Sito web
- quale
- while
- Whitepaper
- OMS
- ampiamente
- wikipedia
- volere
- entro
- Word
- scritto
- anno
- anni
- youtube
- zefiro
